IPsec VPN - was wäre ein "Transit LAN" ?

[MDCYP]

Hi,

möchte mit dem 1781VAW eine IPsec VPN aufbauen zu einem Partner - beim setup haben wir nun die externe Gateway IP, ein Partner Netz /29 und eine "Transit LAN" /30 bekommen - mit diesem Transit LAN kann ich irgendwie nichts anfangen... kann mir jm sagen was das beim Lancom wäre?

[MariusP]

Hi,

Code: Alles auswählen

  Rule #10         ikev2        192.168.73.0/255.255.255.0:0 <-> 192.168.72.0/255.255.255.0:0 any

    Name:                       1781_2_2
    Unique Id:                  ipsec-2-1781_2_2-pr0-l0-r0
    Flags:                      IKE_SA_INIT
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.73.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, 111.111.111.111)
    Remote Gateway:             IPV4_ADDR(any:0, 111.111.111.112)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.72.0/255.255.255.0)

Transit Lan hört sich nach dem Netzwerk an, welches du verbinden möchtest. Hier Local Network.
Da Partner-Lan wohl das Netzwerk ist welches auf der Seite des "Partners" liegt.
Schlag ihm doch vor, sich an die Namesgebung des Standarts(RFC) zu halten: https://tools.ietf.org/html/rfc5996#section-3.13
Gruß

[MDCYP]

Hmm ja ich muss da wohl noch mal nachfragen..

Es gibt:

a. Partner IP : 10.116.209.136/29
b. Transit IP : 10.116.240.136/30

und eben zwei IPs für Server - 10.130.4.167 und 10.130.4.168

Hmm evtl. wird Transit IP genatted auf die IPs... bin mir da unsicher

Danke erstmal!

[MariusP]

Hi,
Solltest ihr IKEv2 verwenden könnt ihr euch in der Aushandlung ja von der Gegenstelle auf das maximal erlaubte Netz herrunterhandeln lassen. https://tools.ietf.org/html/rfc7296#section-2.9 (hatte vor den eins älteren RFC gepostet die Paragraphennummern sind aber gleich)
Sprich ihr gebt denen ein /8 oder ähnliches, die sagen dann wir wollen von dem /8 aber nur diesen einen /30 Bereich zulassen und dein Client nickt das dann ab.
Gruß

[MDCYP]

Ne ist schon IKEv1 im MainMode - ich glaube es ist das Feld "Extranet-Adresse" - irgendwie finde ich zu diesem Feld kaum Doku... im Referenz Handbuch zu 9.20 oder 9.40 nach dem Stichpunkt suchen bringt irgendwie nichts ?

[MariusP]

Hi,
Auszug aus dem https://www.lancom-systems.de/download/ ... 920-EN.pdf Seite 418

2.19.9.2
Extranet address In LCOS versions before 9.10, this field contained the IPv4 address used by the local stations to mask their own IP address in certain scenarios.
As of LCOS version 9.10, masquerading uses the entry under Setup > WAN > IP-List in the field Masq.-IP-Addr..
Telnet path:
Setup > VPN > VPN-Peers
Possible values: Max. 15 characters from [0-9].
Default: empty

Gruß

[Vancouverona]

Hi,

möchte mit dem 1781VAW eine IPsec VPN aufbauen zu einem Partner - beim setup haben wir nun die externe Gateway IP, ein Partner Netz /29 und eine "Transit LAN" /30 bekommen - mit diesem Transit LAN kann ich irgendwie nichts anfangen... kann mir jm sagen was das beim Lancom wäre?

Hatten wir letztens genau so für eine Verbindung nach China bekommen.

Das Transit LAN /30 enthält genau eine freie IP und die IP des fremden Gateways und ist für Deinen eigenen Netzwerkeingangsrouter / Netzwerkfirewall und darf nicht als Netzwerkgateway für das interne Netzwerk verwendet werden. Das Partner Netz /29 dient dazu, deine eigenen Geräte mit öffentlicher IP und einen Router zum internen Netzwerk anzuschließen.

Wir haben da einen kleinen Cisco zwischen gehängt, der dann aus dem Tranit Netz ins Partner Netz routet.

Beispiel:

• Transit-Netz 12.34.56.76 /30: Gateway extern: 12.34.56.77, deine öffentliche WAN IP: 12.34.56.78, Netmask: 255.255.255.252
• Partner-Netz 123.123.123.120 / 29: Gateway extern: 123.123.123.121, freie IPs: 123.123.123.122-126, Netmask: 255.255.255.248

Wir haben erst mal gedacht, dass wir das Partner LAN nicht brauchen (eine IP für ein Gateway in unser Netz reicht ja theoretisch), haben uns aber dann darüber gewundert, dass die Verbindung dauernd abgebrochen ist.

Wir haben dann einen kleinen Cisco als Vermittler zwischen Transit und Partner LAN geschaltet und alles lief perfekt. Der Cisco ist an der WAN Schnittstelle mit IP 12.34.56.78 und Netmask 255.255.255.252 eingetragen, als LAN die 123.123.123.121 mit Netmask 255.255.255.252 und Gateway 12.34.56.78. Unser interner VPN-Router ist dann extern 123.123.123.126 und intern 192.168.200.1 mit Netmask 255.255.255.0 und Gateway 123.123.123.126.

Erläuterung des Technikers auf der anderen Seite: Transit LAN wird nur für den Verbindungsaufbau benutzt, das Partner LAN erhält ein optimiertes Routing.

[MDCYP]

Oh, vielen Dank für die Info!

Ohne den Cisco geht es gar nicht? Wie hast du denn dann die Einstellungen beim LANCOM gemacht? Extranet Adresse verwendet?

Mir würde es völlig reichen wenn wir ein Hide-Nat machen würden, weil wir nutzen die VPN nur für Maintanance via SSH - wäre das standlone mit dem LANCOM möglich?

[MDCYP]

Hätte noch eine Frage... und zwar angenommen man bekommt von einem Partner ein /29 Partnernetz zugewiesen.. wie macht ihr das, dass die Policys übereinstimmen?

Ich hab jetzt z.B. Hide-Nat gemacht also mit der Extranet Adresse gearbeitet - eine aus dem /29 netz angegeben. Gab aber ein Problem weil eben IKE2 scheiterte weil der Partner eben /29 drin hat und im Lancom ja nur dann /32 weil man bei Extranet Addresse nur eine angeben kann.

Also Frage: Wie macht ihr das?